Özellikle online ticaret sitelerini etkileyebilecek yeni bir gelişme oldu. E-posta hesaplarını ve başka özel bilgilere izinsiz erişmenin, kişisel bilgileri çalmanın yeni bir tekniği keşfedildi. İnternet tarayıcının tuttuğu geçmişteki e-posta giriş kuponlarını kullanan araştırmacı büyük bir tehlikeyi ortaya koydu.
İnternet siteleri kullanıcılar hesaplarına girdikten sonra adres satırının sonuna güvenlik amaçlı olarak rastgele bir dizi karakter ekler. Bu internet tarayıcıda bir kupon bırakır bu da siteler arası saldırılara karşı bir güvenlik önlemidir. Kötü niyetli bir sitenin, kullanıcının güvendiği ve erişimine izin verdiği bir sitenin bilgilerini kullanmasını önler. Bu kupon kullanıcıya özeldir ve bunlara CRSF token denir.
Inferno lakaplı bir araştırmacı kaba güç tekniğiyle çok eski bir yöntemi birleştiren yeni bir metot geliştirdi. Bir site sahibi CSS history hacking denilen yöntemle kolayca kullanıcının internet tarayıcı geçmişine ulaşabilir. Sonra her kullanıcının kuponlarını site listesiyle kontrol eder.
Kurnaz yöntemle hızlı hack
Kaba gücün işlemesi için de sadece önemli siteleri seçerek iş yükünü azaltır ve metodun pratik olmasını sağlar. Örneğin eBay'i veya Gmail'i seçerek hangi sitenin o kullanıcıda kupon bıraktığını öğrenir.
Kuponları kullanarak da internet tarayıcıda o siteden her türlü işlemi yapabilir. Üstelik bu işlemler gayet kitabına uygun gözükerek gerçekleştiği için ne firewall ne başka güvenlik önlemleri bunu durdurur.
Peki nasıl önlem alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393.216 istek oluşturuyor ve 2 dakikadan az sürede kırılabiliyor. İşte bu yüzden sitelerdeki kuponların acilen en az sekiz karakter yapılması gerekiyor. Bu da günümüzün işlemci gücüyle ve bulut bilgi işlem imkanlarıyla pek anlam ifade etmiyor aslında. Kuponlardaki karakter sayısını daha da arttırmak geçici olarak iyi bir çözüm.
Inferno'nun tavsiyesi ise CSRF kuponlarının gizli bir formun parçası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu.